Требования к соблюдению
С введением директивы ЕС 2022/2555, также известной как NIS 2, требования к соблюдению в компаниях возросли. С NIS 2 реагируют на угрозу кибератак в ЕС. Директива регулирует кибер- и информационную безопасность компаний и учреждений. Кибератаки теперь считаются одной из самых больших бизнес-рисков для компаний во всем мире.
NIS 2 заменяет директиву ЕС 2016/1148 (NIS 1) и должна способствовать улучшению кибербезопасности в Европейском Союзе и лучшей защите компаний. Таким образом, внедрение директивы NIS-2 также представляет повышенные требования к управлению рисками и соблюдению в многий компаниях. Если меры в компаниях не реализованы надлежащим образом, это может привести к санкциям, как сообщает юридическая фирма MTR Legal Rechtsanwälte.
ЕС одобрил директиву NIS-2 в 2023 году, и до 2025 года страны-члены должны внедрить ее в национальное законодательство. На какие компании распространяется директива, главным образом зависит от сферы их деятельности. Директива была расширена на другие компании, которые считаются существенными (essential) и важными (important). Это приводит к значительному увеличению количества компаний и учреждений, которые должны выполнять законодательные обязанности перед Федеральным управлением по безопасности информационных технологий (BSI).
Затронуты критические инфраструктуры
Критические инфраструктуры, которые уже подпадали под действие директивы NIS-1, такие как энергетика, транспорт, здравоохранение, финансы, водное хозяйство и цифровая инфраструктура, затронуты директивой NIS-2 в новых секторах. К ним относятся общественные электронные услуги, остальные цифровые услуги, такие как социальные платформы, управление сточными водами и отходами, почтовые и курьерские службы, государственное управление или производители критических продуктов. По оценкам, в Германии около 29 000 компаний из различных отраслей затронуты внедрением директивы NIS-2. Прежде всего, средние и большие компании в критических секторах призваны принять подходящие меры для кибербезопасности и установить эффективное соблюдение. Они также обязаны уведомлять соответствующие органы о важных инцидентах или ущербах.
Директива NIS-2 также содержит положения о надзоре, исполнении и добровольных коллегиальных обзорах, чтобы укрепить взаимное доверие и кибербезопасность во всем Европейском Союзе. Это также означает, что руководство несет ответственность, если меры управления киберриск не соблюдаются.
Реакция на атаки на кибербезопасность
С директивой NIS-2 также создается сеть команд реагирования на инциденты с компьютерной безопасностью (CSIRT), чтобы обмениваться информацией о угрозах безопасности и адекватно реагировать на них. Кроме того, создается европейская сеть связующих организаций по киберкризисам. Эта сеть поддерживает регулярный обмен информацией между государствами-членами и органами ЕС, чтобы реагировать на инциденты и кризисы большого масштаба.
Как именно NIS 2 будет внедряться в национальное законодательство в Германии, еще не определено. Причина в том, что внедрение задержалось из-за досрочных федеральных выборов. Тем не менее, понятно, что внедрение кибербезопасности также станет темой для многих средних компаний.
Компании должны внедрять меры безопасности
Они сталкиваются с вызовами внедрения необходимых мер безопасности в соответствии с NIS 2, чтобы защищать данные и критическую инфраструктуру от возможных кибератак. Для этого должны приниматься необходимые технические и организационные меры. Если компания станет жертвой кибератаки, должны быть планы по немедленной локализации ущерба и восстановлению систем. Также необходимо уведомлять соответствующие органы. Кроме того, компании должны регулярно проводить тесты для выявления и устранения уязвимостей. Кибербезопасность также должна существовать внутри цепочки поставок. Поэтому и здесь необходимо реагировать на риски.
Внедрение директивы NIS-2 означает вызовы для эффективного соблюдения в затронутых компаниях, особенно потому, что члены правления и руководящие органы могут лично нести ответственность, если необходимые меры безопасности не реализованы.
MTR Legal Rechtsanwälte поддерживает компании в внедрении эффективных систем соблюдения и обеспечивает выполнение законодательных требований. Как юридическая фирма, MTR Legal консультирует по соблюдению и другим вопросам экономического права.
Пожалуйста, свяжитесь с нами Контакт с нами!
